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par un objet portable et cooperant avec un objet portable 
dote d'une zone de memoire non-volatile (ZD) contenant 
des donnees etcomportant un lecteur communiquant avec 
ledit objet portable, caracterise en ce que I'appareil com- 
porte des moyens de lecture ou de stockage dans sa me- 
moire de donnees (Ti ; Dj, Sk) d'autodiagnostic ou de su- 
pervision et un moyen d'emission desdites donnees vers 
des sorties (1-4) specifiees en fonction d'informations four- 
nies par les donnees d'autodiagnostic ou de supervision 
suite a Texecution d'au moins une tache (Tt) de son pro- 
gramme d'application en relation avec I'objet portable. 




I III 111 111 II 111 I lllllll 



BNSDOCID: <FR 2757664A1 _l_> 




2757664 " 

>. 



TERMINAL ET PRQC EDE D'AUTODIAGNOSTIC OU DE SUPERVISION 
ET OBJET PORTATIF U TILISE DANS UN TEL TERMINAL OU PRQCFHF 

La presente invention concerne un terminal et un procede d'autodiagnostic 
ou de supervision et I'objet portatif de type carte a microcircuit utilise dans 
un tel procede ou terminal ou lecteur. Ces objets comportent une Unite 
Centrale, une memoire programme contenant du code executable : 
constituant le systeme d'exploitation, une memoire de donnee non volatile et 
programmable et, une' ou plusieurs interfaces cJe communication. Les 
terminaux sont des appareils dotes d'une interface compatible avec celles 
des objets, ils possedent une Unite centrale et un logiciel capable de 
communiquer et d'exploiter les donnees provenant de la memoire non 
volatile de I'objet portable. 

En general, les terminaux sont equipes d'un logiciel specifique 
correspondant a leur utilisation, par exemple, les terminaux portables de 
paiement sont dotes d'un programme d'exploitation de type bancaire. Ce 
logiciel est realise ou specifie par I'organisme qui gere cette application, 
dans I'exemple cite, c'est un organisme bancaire. Cet organisme n'est 
generalement pas le fabricant du terminal, il achete ou fait fabriquer la partie 
materielle c'est-a-dire le terminal, il y introduit le programme specifique afin 
de configurer son terminal pour sa propre application. L'organisme bancaire 
y trouve son avantage en achetant un produit standard done bon marche, et 
en I'adaptant selon ses besoins. Le fabricant propose un modele de base 
qui peut convenir a plusieurs applications, ce qui lui permet d'etendre son 
marche. 

L'organisme exploitant une application donnee peut desirer disposer de 
plusieurs modeles de terminaux lecteurs de cartes, il n'est pas souhaitable 
de developper des logiciels applicatifs pour chaques terminaux. Ce qui a 
conduit les fabricants a implementer une couche iogicielle de base qui 
assure I'interface entre le materiel et le logiciel applicatif. Cette couche 
Iogicielle assure I'adaptation entre un meme logiciel applicatif et des 
terminaux differents. Une facon de faire consiste a creer un interpreter, de 
telle sorte que I'organisme peut developper son application en langage 
evolue bien connu et ceci quasiment independamment des contraintes du 
materiel. Une autre fagon de faire est d'organiser une couche Iogicielle de 
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bas niveau qui gere toutes ies entrees sorties materielles et, a mettre a la 
disposition de I'organisme exploitant une bibliotheque de primitives que le 
logiciel applicatif va appeler. 

Dans tous Ies cas, on doit etre en mesure de valider ou de tester le terminal 
5 dans son ensemble. La validation ou le test du terminal doit prendre en 
compte Ies deux, parties : le materiel avec son logiciel de base et le logiciel 
J d'application. Un auto-test permet de verifier claque equipement du 
) terminal, il est generalement constitue d'une routing implementee dans le 
logiciel de base. Le test du logiciel d'application doit etre realise en 
10 laboratoire, il est important dans ce type d'application de bien verifier le 
fonctionnement du programme avant sa mise en service. Toutefois, la 
multiplicity des cartes entraine un tres grand nombre de cas particuliers non 
reproductibles en laboratoire. L'invention suivante a pour but de valider ou 
tester en conditions normales d'utilisation le fonctionnement d'un logiciel 
15 d'application. 

A cet effet, invention concerne un terminal dote d'un programme 
d'application, d'au moins une sortie constitute soit par un affichage, soit par 
une imprimante, soit par un reseau de communication, soit par un objet 
portable et cooperant avec un objet portable dote d'une zone de memoire 

20 non-volatile contenant des donnees et comportant un lecteur communiquant 
avec ledit objet portable, caracterise en ce que I'appareil comporte des 
moyens de lecture ou de stockage dans sa memoire de donnees de 
diagnostic ou de supervision et un moyen d'emission desdites donnees vers 
des sorties specifiees en fonction d'informations fournies par Ies donnees 

25 d'autodiagnostic ou de supervision suite a I'execution d'au moins une tache 
de son programme d'application en relation avec I'objet portable. 

Sebn une autre caracteristique, Ies moyens d'emission des donnees 
t d'autodiagnostic sont actives un certain nombre de fois. 

Selon une autre caracteristique, Ies moyens d'emission des donnees 
30 d'autodiagnostic ou de supervision comporte des moyens d'ecriture dans 
I'objet portable connecte a TappareiL 

Selon une autre caracteristique, Ies donnees d'autodiagnostic ou de 
supervision sont constitutes par au moins un triplet d'information 
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correspondant pour une premiere information a une tache determinee du 
programme d'application, pour la seconde information a un type de donnees 
correlees a la tache executee et a presenter a une sortie, et pour la 
troisieme information a une valeur de specification de la sortie a laquelle le 
type de donnees doit etre presente parmi celles presentes sur le terminal. 

Selon une autre caracteristique, I'appareil dispose d'un moyen de test de la 
presence de donnees d'autodiagnostic ou de supervision dans un objet 
portable et de declencher la lecture et le stockage de ces donnees dans une 
zone specifique ZTD de la memoire du terminal. 

Selon une autre caracteristique, le terminal comporte des moyens 
d'introduction de donnees d'autodiagnostic ou de supervision dans un objet 
portable. 

Un autre but de I'invention est de proposer un procede de supervision du 
fonctionnement d'un terminal ou d'autodiagnostic d'un terminal. 

Ce but est atteint par le fait que le procede d'autodiagnostic ou de 
supervision a partir d'au moins un triplet d'information correspondant pour 
une premiere information a une tache determinee d'un programme 
d'application execute soit par un objet portable soit par un terminal, pour la 
seconde information a un type de donnees correlees a la tache executee et 
a presenter sur une sortie et pour la troisieme information a une valeur de 
specification de la sortie parmi celles presentes- sur le terminal se 
caracterise en ce qu'il consiste : 

- a executer une tache du programme d'application sur le terminal ; 

- a tester un indicateur soit dans le terminal soit dans I'objet portable pour 
determiner si une fonction d'autodiagnostic ou de supervision est 
operationnelle, puis dans le cas d'une reponse positive ; 

- a rechercher dans la memoire soit de I'objet portable soit du terminal s'il 
existe parmi les triplets d'information stockes un triplet dont la premiere 
information correspond a la tache determinee executee par le terminal ou la 
carte ; 
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- a emettre vers la sortie specifiee par le triplet ainsi lu la valeur de la 
donnee correlee a la tache executee et a referencer par la seconde 
information du triplet. 

Selon une autre particularite, le procede comporte une etape de test 
consistant a determiner s'il existe d'autres taches a executer et a la suite de 
Texecution de ces taches a rechercher tous les triplets deformation 
cprrespondants a l'execution^;de cette tache. ) 

Selon une autre particularity le procede comporte une etape de lecture d'un - 
objet portable memorisant dans sa memoire non-volatile une pluralite de 
triplets et une etape de stockage de ces triplets dans une zone de memoire 
non-volatile du terminal suivie d'une etape d'activation d'un indicateur de 
fonction d'autodiagnostic ou de supervision active. 

Selon une autre particularite, le procede comporte une etape de test pour 
determiner si I'objet portable est une carte specifique a la fonction 
d'autodiagnostic ou de supervision ou une carte dite banale. 

Selon une autre particularite, les donnees d'autodiagnostic ou de 
supervision sont constitutes par un quatrieme champ d'information 
contenant, au depart dans I'objet portable Tadresse d'ecriture (Adr-V), le 
nombre d'octets a ecrire (Nb-V), apres I'operation d'autodiagnostic la valeur 
a ecrire (Val). 

Un autre but de ('invention est de proposer un objet portable utilisable avec 
le terminal et le procede d'autodiagnostic ou de supervision. 

Ce but est atteint par le fait que I'objet portable est une carte a 
microprocesseur fonctionnant grace a un systeme d'exploitation memorise 
sur la carte et comportant une memoire non-voiatile contenant au moins un 
triplet d'information dans une zone determinee de cette memoire non-volatile 
dont la position est definie par des champs d'adresse situes dans la partie 
de memoire servant a stocker le systeme d'exploitation. 



Selon une autre particularite, la partie de memoire non-volatile servant a 
memoriser le systeme d'exploitation comporte egalement dans un champ 
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memoire une information constituant un compteur d'utilisation de la fonction 
d'autodiagnostic. 

Selon une autre particularity, la zone memoire stockant le systeme 
Sexploitation comporte un champ permettant de memoriser un indicateur 
5 d'activation de la fonction d'autodiagnostic ou de supervision. 

D'autres particularites et avantages de la presente invention apparaitront 
plus clairement a la lecture de la description ci-apres faite en reference aux 
dessins annexes dans lesquels : 

la figure 1 est un tableau explicatif des triplets constitues des taches 
io elementaires, des types de donnees et des types de sorties que Ton peut 
associer a I'execution de chacune des taches d'un programme d'application ; 

la figure 2 est un schema des zones memoire non-volatile utilisees sur un 
objet portable de test necessaire a la mise en oeuvre du procede de 
('invention ; 

is la figure 3 represente les differentes etapes d'execution des programmes 
d'initialisation du terminal et d'execution de la fonction d'autodiagnostic ; 

la figure 4 represente une vue schematique des zones de stockage des 
informations dans la memoire non-volatile d'un objet portable dit banal ; 

la figure 5 represente les differentes etapes d'execution d'un programme 
20 d'initialisation du terminal et d'execution de la fonction d'autodiagnostic sur 
ce terminal avec une carte dite banale. 

Une maniere de reatiser I'invention consiste dans une premiere variante, 
d'une part a utiliser une carte a microprocesseur fonctionnant grace a un 
systeme d'exploitation memorise sur la carte et constituant une "carte a puce 
25 dite intelligente" qui est prealablement initialisee avec des donnees 
d'autodiagnostic, d'autre part a faire prendre en compte ces donnees par le 
terminal dont on veut tester le logiciel d'application. 

Un logiciel d'application dans un terminal peut se decomposer en taches 
elementaires qui se succedent a des moments determines. Par exemple, 
30 pour une application bancaire, on peut decomposer une transaction par les 
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taches elementaires (Ti) suivantes : Verification (T1, Fig. 1) si la carte 
introduce est habilitee, Authentification (T2) du porteur, Acquisition (T3) des 
donnees de la transaction dans le terminal, Inscription de ces donnees dans 
le microcircuit de la carte, Validation (T4) de la transaction dans le terminal 
et la carte. 

D'autres part et toujours lors d'une transaction, le logiciel d'application 
maiiipule des donnees, ces donnees peuvent etre utilisees temporairement 
comme, d'une part le Code elabpre par le porteur (Cp) qui est stocke dans la 
memoire du terminal, d'autre part I'identite du porteur (Ip) qui est stockee - 
dans la carte ou encore comme le Montant de la transaction (Mt) ou la Date 
de la transaction (Dt) qui sont stockes dans le terminal et la carte. Lors de 
1'execution de chaque tache elementaire, chacune de ces donnees peuvent 
etre initialisees, modifiees ou inchangees. La fonction d'autodiagnostic 
d'utilisation du logiciel d'application consiste a controler les donnees de la 
transaction au moment de certaines taches et ceci dans des conditions 
normales d'utilisation. Cette fonction peut etre realisee soit par le logiciel de 
base, soit par le logiciel d'application ; 

Pour ce faire, I'operateur charge du controle elabore une grille composee 
d'un cote des taches elementaires identifiables notees Ti et de I'autre cote, 
des donnees Dj constitutes par les informations telles que : Cp, Ip, Mt et Dt. 
La figure 1 montre un exemple d'une telle grille. Pour controler le 
deroulement correct d'une transaction, I'operateur choisit de verifier la valeur 
de certaines donnees lors de Texecution de taches bien precises. Cela 
revient a associer une donnee Dj a une tache Ti, ces associations sont 
symbolisees par des croix sur la grille de la figure 1. Un troisieme element 
d'information Sk est rajoute. La valeur de ce code precise le type de sortie 
utilisee pour emettre la donnee a controler : vers le reseau lorsque Sk est a 
une premiere valeur par exemple "1 H (Sk =1), vers I'imprimante lorsque Sk 
est a une deuxieme valeur par exemple "2" (Sk = 2), ou vers I'ecran lorsque 
Sk est a une troisieme valeur par exemple M 3" (Sk = 3). L'operateur introduit 
les triplets d'information (Ti, Dj, Sk) dans une unite centrale speciale dite de 
diagnostic, cette unite centrale est dotee d'un lecteur de carte. Le logiciel de 
diagnostic est configure selpn I'application a tester de telle sorte que les 
triplets (Ti, Dj, Sk) sont identifies lors de la saisie sur ecran par Vindication 
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precise des taches elementaires et des donnees a controler et non les 
references numeriques Ti, Dj, Sk... 

La carte contenant les donnees d'autodiagnostic est : soit une carte 
speciale, soit une carte banale utilisee couramment pour une application. 
Une description detaillee d'une realisation est donnee pour chaque cas. 

Decrivons tout d'abord le cas ou une carte speciale dite "carte de test" (20, 
Fig.; 2) est utilisee pour coritenir les donnees d'autodiagnostic. Une 
procedure securitaire est mise en oeuvre pour eviter qu'uri fraudeur puisse 
se servir d'une telle carte de facon non autorisee. La carte de test contient, 
dans la zone memoire secrete non representee, un code secret dit de 
diagnostic "KD". Ce code secret doit etre prealablement presente a la carte 
qui le verifie et, s'il est egal a un code de reference, autorise I'ecriture des 
donnees d'autodiagnostic dans la memoire programmable de la carte. 

En prevision du stockage des donnees d'autodiagnostic, la memoire 
programmable non volatile de la carte de test possede en plus de la zone 
systeme ZS contenant le systeme Sexploitation de la carte et de la zone 
(AZU autre zone utilisable) permettant d'autres memorisations, une zone 
(22) appelee "ZD". C'est dans cette zone que sont stockes successivement 
les triplets (Ti, Dj, Sk). Ainsi une premiere zone (220) d'une memoire permet 
le stockage du premier triplet T1, D2, 1 ; une deuxieme zone (221) permet le 
stockage du deuxieme triplet T2, D1, 2 ; une troisieme zone (222) permet le 
stockage du troisieme triplet T3, D3, 1 ; une quatrieme zone (223) permet le 
stockage du quatrieme triplet D4, D3, 3 ; une cinquieme zone (224) permet 
le stockage du triplet T4, D4, 1 ; T1, T2, T3, T4, D1, D2, D3. D4 representant 
respectivement les informations de la figure 1 . II est bien evident que I'objet 
portable peut comporter plus ou moins de triplet selon le type de supervision 
ou d'autodiagnostic que Ton veut effectuer sur les taches executees par le 
programme d'application. La zone ZD est reperee par son adresse de debut 
: "ADD_ZD" et son adresse de fin "ADF-ZD", les deux valeurs d'adresse sont 
stockees dans la partie (230, 231) de la memoire programmable allouee au 
systeme d'exploitation. 



La memoire programmable non volatile est de type EPROM, EEPROM, 
FeRAM, SRAM ou FLASH. La figure 2 decrit ('organisation de cette memoire 



en reprenant les informations citees par la figure 1. Avantageusement, la 
donnee Dj est I'adresse physique de la donnee a controler dans la memoire 
de travail du terminal. 

Une fois programmee, la carte de test est introduite dans le terminal dans 
5 lequel doit se derouler la fonction d'autodiagnostic. La figure 3 est un 
organigramme illustrant la chronologie des evenements du programme 
constitute d'une sequence d'attente et de test (1 t 2, 3), le test declenchant 
en fonption du resultat soit une sequence de chargement (4 a 7, Fig. 3) du 
terminal avec les donnees d'autodiagnostic, soit une sequence d'execution " 

10 du programme d'autodiagnostic (8 a 16, Fig. 3) qui est incorpore soit dans le 
logiciel de base du terminal, soit dans le logiciel d'application. L'etape 1 est 
Initialisation du terminal apres une mise sous tension et l'etape 2 est la 
phase d'attente d'un ordre ou d'une introduction de carte. A l'etape 3, le 
terminal teste si la carte introduite dans le lecteur est une carte banale, et a 

15 l'etape 4 si la carte est une carte de test. Dans ce dernier cas, le terminal 
execute a l'etape 5 une procedure d'authentification de la carte par un code 
de reference ou, par un schema classique d'authentification challenge- 
reponse utilisant un algorithme et une cle secrete (KD). 

Une fois la carte de test identifiee et authentifiee, le programme du terminal 
20 lit a l'etape 6 les informations contenues dans la zone ZD. La selection et la 
localisation des triplets s'effectuent a Taide des deux pointeurs ADD_ZD et 
ADF-ZD. Les triplets (Ti, Dj, Sk) successivement lus dans la zone ZD sont 
stockes dans le meme ordre dans une zone de la memoire du terminal 
appelee ZTD. Une fois le dernier triplet stocke dans la zone ZTD, le 
25 programme du terminal, a l'etape 7, positionne a I'etat actif un indicateur 
d'autodiagnostic "lnd_DT M dans la memoire du terminal. Puis le programme 
du terminal reboucle en attente d'une commande ou d'une autre introduction 
de carte sur l'etape 2. 

Une nouvelle carte est introduite, c'est une carte banale, compatible avec 
30 1'application traitee par le terminal. On a dit precedemment que le logiciel 
d'application dans le terminal se decompose en taches elementaires Tt que 
Ton peut individuellement executer (etape .8). A la fin de I'execution de 
chaque tache que Ton peut referencer par le code Tt, le . programme 
d'application teste a l'etape 9 I'indicateur lnd_DT du terminal. S'il est inactif, 
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la fonct.on d'autodiagnostic n'est pas operationnelle, le programme continue 
a executer les autres taches. Si I'indicateur lnd_DT est actif, le programme 
du terminal recherche a I'etape 10 dans la zone ZTD de la memoire du 
terminal le premier triplet (Ti, Dj, Sk) pour lequel Tt =Ti c'est a dire, s'il y a 
une donnee a tester a la suite de la tache qui vient de s'executer. Si oui a 
I'etape 11, la valeur 'Val" de cette donnee (Dj) est stockee temporairement 
dans la memoire du terminal et en fonction de la valeur de Sk, elle est traitee 
de la fa£on suivante : . -. . 

Si Sk e'st egal a "1" (etape 12), la donnee Dj doit etre envoyee vers le - 
reseau. Un bloc de trois donnees est alors constitue : la valeur du champ Tt, 
la reference Dj de la donnee a analyser et la valeur 'Val" de cette donnee 
extraite de la memoire du terminal. Ces blocs sont memorises les uns a la 
suite des autres dans une zone de la memoire du terminal appelee "ZDR". 
Le contenu de cette zone est envoye vers le reseau a la fin de la transaction 
ou lors d'une demande par le reseau des donnees d'autodiagnostic. Une 
fois toutes les donnees transmises, la zone ZDR est videe pour etre re- 
utilisee lors d'une nouvelle introduction de carte. 

Si Sk est egal a "2" (etape 13), la donnee Dj doit etre envoyee vers 
rimprimante du terminal pour impression. Un message est alors cree dans le 
tampon logiciel de rimprimante, il est compose d'un texte (code ASCII) 
rappelant la nature de la donnee, par exemple "MONTANT : "suivi de la 
valeur decimate ou hexadecimale de la donnee Dj, le message se termine 
par un separates et un "RETOUR CHARIOT - SAUT DE LIGNE". On peut 
regrouper tous les messages d'autodiagnostic et les imprimer a la fin de la 
transaction. 

Si Sk est egal a "3" (etape 14), la donnee doit etre envoyee vers I'afficheur 
du terminal pour affichage. Un message est alors cree dans le tampon de 
I'afficheur. compose d'un texte (code ASCII) rappelant la nature de la 
donnee par exemple "MONTANT : "suivie de la valeur decimale ou 
hexadecimale de la donnee Dj. Les messages correspondant a chaque 
element (Tt, Dj, "3") sont affiches successivement pendant un certain temps 
fixe par le programme. On peut regrouper tous les messages et les afficher a 
la fin de la transaction, le defilement des messages peut etre controle par 
I'appui sur une touche du clavier du terminal. 
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Une fois la donnee Dj traitee, le programme verifie a I'etape 15, s'il existe 
dans ZTD d'autres triplets pour lesquels Tt =Ti. Si oui, le programme 
reboucle a I'etape 11 et traite un nouveau triplet. Pour chaque tache 
elementaire, la recherche de triplets s'effectue en balayant toute la zone 
5 ZTD. S'il ne reste plus de triplets (Ti=Tt t Dj, Sk) a traiter, le programme, a 
I'etape 16, continue en sequence et passe eventuellement dans une variante 
a une autre tache sans executer les etapes 17 et 18 decrites ci-apres. S'il 
n'y a plus d'autres taches a executer, le programme reboucle a } I'etape 3, en 
attente d'une commande ou d'une nouvelle introduction de carte. 

io On peut associer un compteur initialise avec un certain nombre a I'indicateur 
Ind-DT dans le terminal de telle sorte que, la fonction d'autodiagnostic est 
activee que pour ce nombre d'introduction de carte banale. Pour ce faire, 
I'operateur a prealablement introduit ce nombre dans un emplacement 
specifique (21, fig. 2) de la memoire programmable de la carte de test par 

is exemple, a cote des emplacements (230, 231) de ADD_ZD et ADF-ZD. Ce 
nombre est dans ce cas stocke dans la memoire du terminal apres 
I'introduction de la carte de test, a I'etape 6. Puis ce nombre est decrements 
(etape 17) a chaque fin d'execution d'une fonction d'autodiagnostic, (sortie 
OUI de I'etape 16). Lorsque celui-ci passe a "0", I'indicateur IndJDT est 

20 positionne inactif (etape 18) et, eventuellement, le contenu de la zone ZTD 
est effacee. 

Si ce compteur n'est pas installe les etapes .17 et 18 n'existent pas et la 
fonction d'autodiagnostic s'execute une seule fois ou, indefiniment jusqu'a ce 
qu'une nouvelle introduction de la carte de test rebascule I'indicateur lnd_DT 
25 en position inactive. 

II est possible d'eviter ('utilisation d'une carte de test et d'employer que des 
cartes banales a condition qu'elles supportent les fonctions speciales 
d'autodiagnostic. Pour cela la memoire programmable de la carte banale 
contient en plus de la zone systeme ZS et de la zone utilisateur ZU, une 
:>o zone ZD qui est reperee par son adresse de debut : "ADD_ZD" et son 
adresse de fin "ADF-ZD" (voir figure 4). La memoire programmable de la 
carte banale contient dans sa zone systeme egalement a un emplacement 
(232) un indicateur "IndJD" signalant si la fonction d'autodiagnostic est 
active ou non. Toutes ces donnees ADD-ZD, ADF-ZD, Ind-D sont stockees 
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dans des emplacements (230, 231, 232), de la partie ZS de la memoire 
programmable allouee au systeme d'exploitation. Les deux valeurs 
d'adresse sont determinees et ecrites lors de la personnalisation de la carte 
la zone ZD, cette methode est simple a mettre en oeuvre mais possede 
5 I'inconvenient de necessiter la reservation d'un emplacement important dans 
toutes les cartes pouvant servir pour I'autodiagnostic. 

Avantageusement, ('emplacement de la zone ZD peut etre alloue 
dynamiquement par le systeme d'exploitation de la carte a la suite de la 
bonne presentation du code KD. L'operateur precise alors a la carte le - 

10 nombre de triplets (Ti, Dj, Sk) ou le nombre d'octets a reserver pour ZD. Le 
systeme d'exploitation de la carte recherche alors dans la memoire 
programmable un emplacement vierge suffisant. Si la memoire ne contient 
pas un tel emplacement vierge, le systeme d'exploitation renvoie un 
message d'erreur et interrompt la procedure d'introduction des donnees 

15 d'autodiagnostic. Dans le cas contraire, la place est suffisante le systeme 
d'exploitation memorise I'adresse de debut : "ADD_ZD" et I'adresse de fin 
"ADF-ZD". Nous verrons par la suite comment, apres I'execution de la 
fonction d'autodiagnostic, on peut effacer la presence de la zone ZD et ainsi 
liberer cet emplacement memoire. 

20 De la meme facon que pour la carte de test. Une procedure securitaire est 
prevue pour eviter qu'un fraudeur puisse se servir d'une carte banale pour y 
introduire des donnees d'autodiagnostic. Un mecanisme de type challenge- 
reponse avec algorithme et code secret permet d'authentifier l'operateur et 
d'autoriser I'ecriture et la lecture (nous le verrons pourquoi par la suite) des 

25 triplets dans ZD. 

Dans le cas d'une carte banale utilisee pour transmettre les donnees 
d'autodiagnostic, le code Sk peut prendre une quatrieme valeur : 4, cette 
valeur indique que la valeur de la donnee Dj a contrdler est inscrite dans la 
carte. Un quatrieme champ situe a une adresse "Adr-V" est alors alloue a la 
30 suite du triplet (Ti, Dj, Sk=4) et on memorise done des quadruplets. La taille 
de ce champ correspond a celle de la donnee a inscrire, l'operateur doit 
done preciser le nombre d'octets "Nb-V" de ce quatrieme champ et son 
contenu est constitue au depart de I'adresse (Adr-V) d'ecriture puis comme 
on le verra par la suite apres la sortie par la valeur .'Val". Le cinquieme 
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triplet (225) de la figure 4 possede cette structure. Lorsque tous les triplets 
(Ti, Dj, Sk) (220 a 225) sont introduits dans la zone ZD, I'indicateur lnd_D" 
est positionne actif signalant ainsi que la fonction d'autodiagnostic est active 
dans cette carte. 

La figure 5 montre le deroulement des operations lorsque la carte decrite 
precedemment est introduite dans un terminal. L'etape 1 est Initialisation du 
terminal apres une mise sous tension ^et l'etape 2 est la phase'*d'attehte 
d'une introduction de carte, le programme continue, lorsque la carte est 
reconnue comme compatible avec ^application par reconnaissance par le 
terminal de la presence des informations necessaires. A cette etape 2, le 
programme effectue la selection de I'entite correspondant a ('application. A 
la difference de la carte de test, lorsque la carte banale est introduite par le 
porteur, ce dernier peut parfaitement ignorer que la fonction d'autodiagnostic 
est active. 

15 A l'etape 3, le terminal teste si I'indicateur lnd_D dans la carte est 
positionne actif et done, si la fonction d'autodiagnostic est operationnelle. 
L'indicateur peut etre emis soit par une valeur particuliere dans les octets 
emis par la carte lors de la mise sous tension, soit par une valeur 
particuliere emise lors de la selection de I'entite correspondant a 
I'application utilisee sur la carte. Si lnd_D est actif, le programme passe a 
l'etape 4. Au cours de cette etape 4, la zone ZD est lue a I'aide des deux 
valeurs d'adresse ADD-ZD et ADF_ZD et I'ensemble des triplets lus dans la 
carte sont stockes dans la memoire ZTD du terminal. Si le triplet comporte 
une information Sk dont la valeur est "4", le systeme d'exploitation de la 
carte renvoie en plus des trois valeurs Ti, Dj et Sk , I'adresse "Adr-v" du 
quatrieme champ reserve pour inscrire la donnee dans ZD et le nombre 
d'octet "Nb_v" de ce champ. Rour des raisons de securite, I'acces en lecture 
a la zone ZD de la carte n'est accorde par le systeme d'exploitation de la 
carte que si I'indicateur lnd_D de la carte est actif. Une fois toutes les 
informations contenues dans la zone ZD stockees dans la zone memoire 
ZTD du terminal, le terminal positionne son indicateur d'autodiagnostic Ind-D 
en position active (voir etape 5 de la figure 5). Les etapes 3, 4 et 5 sont des 
parties de la sequence d'initialisation du dialogue entre la carte banale et le 
terminal et s'executent avant I'execution du programme d'application. 
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On a dit precedemment que le logiciel duplication se decompose en taches 
elementaires que I'on peut individuellement tester. A la fin de I'execution de 
chaque tache que I'on peut referencer par un numero Tt (etape 6), par 
exemple le logiciel de base, reprend la main et teste si I'indicateur de 
diagnostic interne au terminal est actif (etape 7). Si celui-ci est actif, a 
I'etape 8, le programme recherche s'il existe un element (Ti, Dj, Sk) stocke 
dans la zone ZTD qui possede une valeur de champ Ti egale a cede de Tt. 
Si oui : il y a une donnee (reference Dj) a'controler a la suite de la tache qui 
vient de s'executer, la valeur de cette donnee est alors ! stockee 
temporairement dans la memoire du terminal. En fonction de la valeur de Sk, 
elle est traitee de la facon suivante (etape 9) : 

Si Sk est egal a "1" (etape 10), la donnee Dj doit etre envoyee par le 
terminal vers le reseau. Un bloc de trois donnees est alors constitue de la 
valeur du champ Tt, de la reference Dj de la donnee a analyser et de la 
valeur "Val" de cette donnee extraite de la memoire du terminal. Ces blocs 
sont memorises les uns a la suite des autres dans une zone de la memoire 
du terminal appelee "ZDR". Le contenu de cette zone est envoyee vers le 
reseau a la fin de la transaction ou lors d'une demande par le reseau des 
donnees d'autodiagnostic. Une fois toutes les donnees transmises, la zone 
ZDR est videe pour etre re-utilisee lors d'une nouvelle introduction de carte. 

Si Sk est egal a "2", la donnee doit etre envoyee vers I'imprimante du 
terminal, le programme se poursuit par I'etape 1 1 . Au cours de cette etape 
1 1 un message est cree dans le tampon de I'imprimante, compose d'un texte 
(code ASCII) rappelant la nature de la donnee par exemple " MONTANT : " 
suivie de la valeur decimale ou hexadecimale de la donnee Dj, le message 
se termine par un separateur et un " RETOUR CHARIOT - SAUT DE LIGNE 
". Avantageusement, on peut regrouper tous les messages et les imprimer a 
la fin de la transaction. 

Si Sk est egal a "3", la donnee doit etre envoyee vers I'afficheur du terminal, 
le programme se poursuit par I'etape 12. Au cours de cette etape 12, un 
message est alors cree dans le tampon de I'afficheur, compose d'un texte 
(code ASCII) rappelant la nature de la donnee par exemple "MONTANT : " 
suivie de la valeur decimale ou hexadecimale de la donnee Dj. Les 
messages correspondant a chaque element (Tt, Dj, "3") sont affiches 
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successivement pendant un certain temps fixe par le logiciel 
d'autodiagnostic. Avantageusement, on peut regrouper tous les messages et 
les afficher a la fin de la transaction, le defilement des messages peut etre 
controle par I'appui sur une touche du clavier du terminal. 

Si Sk est egal a "4", la donnee doit etre memorisee dans la carte, le 
programme se poursuit par I'etape 13. Au cours de cette etape 13, un 
quatrieme champ est reserve a cet usage^dans ZD, I'adresse M Adr-v" de ce 
quatrieme champ et le nombre d'octets "Nb_v" de ce champ ont ete 
memorises dans la zone ZTD lors du chargement des donnees" 
d'autodiagnostic dans le terminal. Le terminal envoie done a la carte une 
commande d'ecriture avec les parametres suivants : 
Adresse d'ecriture : Adr-v 

Nombre d'octets a ecrire : Nb-v 

Valeur a ecrire : "Val" celle de la donnee Dj. 

L'ecriture dans la zone ZD n'est autorisee par le systeme d'exploitation de la 
carte que dans le quatrieme champ d'un triplet de type Sk=4 correspondant 
a la Ti. Dans le cas ou le triplet Ti de la carte n'est pas de type Sk=4, 
l'ecriture est refusee. Un compte rendu d'execution est systematiquement 
renvoye au terminal apres chaque commande d'ecriture, si celle-ci n'a pas 
ete menee a bien, le terminal avertit I'utilisateur par un message. L'utilisation 
des donnees memorisee est expliquee dans la suite. Une variante consiste a 
stocker temporairement toutes les valeurs des donnees Dj de type Sk=4 et a 
effectuer les commandes d'ecriture des valeurs a la fin de la transaction. 

Une fois la donnee Dj traitee, a I'etape 14, le programme verifie s'il existe 
dans la zone ZTD d'autres triplets pour iesquels Tt =Ti. Si oui, le programme 
reboucle a I'etape 9 et traite un nouveau triplet. Pour chaque tache 
elementaire, la recherche de triplets s'effectue en balayant toute la zone 
ZTD. S'il ne reste plus de triplets (Ti=TT, Dj, Sk) a traiter, le programme 
passe a I'etape 15 en recherchant d'autre tache a executer. S'il n'y a plus 
d'autres taches a executer, le programme reboucle a I'etape 2, en attente 
d'une nouvelle introduction de carte. 




Dans le cas d'une carte banale utilisee pour transmettre les donnees 
d'autodiagnostic, la fonction d'autodiagnostic doit pouvoir s'executer qu'une 
seule fois. En effet, I'operateur peut ne vouloir effectuer qu'un seul test du 
terminal lecteur de carte, ensuite les donnees ne doivent pas sortir du 
terminal. De plus, si la donnee a controler possede un champ Sk de type 4, 
un seul stockage n'est pas possible. Pour recommencer une nouvelle fois la 
fonction, la carte doit etre de nouveau programmee par I'operateur. Pour 
eviter d'etre utilisee plusieurs fois avec la^fonction d'autodiagnostic, >juste 
apres la lecture de.la zone ZD par le terminal, le systeme d'exploitation de la 
carte va positionner a I'etat inactif I'indicateur lnd__D. Pour des raisons de 
securite, il peut aussi effacer tous les triplets de type Sk=1, 2 et 3. 
L'indicateur Ind-D est inactif, la lecture de la zone ZD n'est plus possible. 

Les donnees correspondant au type Sk=4 sont traitees lorsque la carte 
banale passe dans un terminal habilite a les lire, c'est a dire un terminal qui 
s'est authentifie de la meme fa?on que lors de I'ecriture des donnees 
d'autodiagnostic. Une fois tous les triplets lus, I'effacement total de la zone 
ZD peut etre effectue. Cet effacement peut etre provoque par une 
commande speciale ou iors de la premiere echture dans la zone ZD. 
L'effacement, que justifie la securite, permet aussi de liberer la place 
occupee par la zone ZD. Cet emplacement peut etre utilise par I'application. 

Ce fonctionnement style M mono-coup" de la fonction d'autodiagnostic peut 
etre interessant, lorsqu'une personne rapporte sa carte de credit a une 
agence bancaire en declarant que, sur un certain type de terminal de 
paiement, sa carte "ne marche pas". Uagence va enregistrer les donnees 
d'autodiagnostic dans cette carte en specifiant que les donnees de la 
transaction (montant, date, valeur du certificat) seront ecrites dans la carte 
en positionnant dans chaque triplet correspondant a une tache a enregistrer 
le troisieme champ Sk a la valeur "4" (Sk=4). La personne retourne chez le 
commergant ou se trouve le terminal a tester, effectue une transaction et 
revient a son agence qui analyse ou fait analyser a distance les informations 
stockees dans ZD. 

Le fonctionnement mono-coup est aussi interessant pour verifier le 
fonctionnement d'un terminal soup^onne de fraude. Un organisme bancaire 
repere que, sur un terminal, des transactions sont creditees sans qu'il existe 
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des demandes de debit sur des comptes clients. L'organisme bancaire va 
envoyer des controleurs dotes de cartes banales avec la fonction 
d'autodiagnostic, A leurs retours, les donnees chargees dans la carte seront 
analysees. 

5 Un autre exemple : un organisme bancaire peut trouver interessant de 
connaitre rapidement le moment et Tendroit ou une carte est utilisee pour la 
premiere fois. Pour cela, avant de delivrer Ha carte a son porteur, cette 
derniere contient deux triplets de type Sk=1 dans lequel chaque troisieme 
champ Sk est a la valeur M 1". Dans la zone ZD, avec la donnee Dj 

10 correspondant a la date de la transaction et la donnee Dj correspondant a 
I'identite du terminal. Lors de la premiere transaction, les deux blocs (Ti, Dj, 
"date") et (Ti, Dj\ "identite du terminal") seront envoyes immediatement sur 
le reseau. 
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REVENDICATIONS 



1. Terminal dote d'un programme d'application, d'au moins une sortie 
constitue soit par un affichage, soit par une imprimante, soit par un reseau 
de communication, soit par un objet portable et cooperant avec un objet 

5 portable dote d'une zone de memoire non-volatile (ZD) contenant des 
donnees et connportant un lecteur communiquant avec ledit objet portable, 
caracterise en ce que I'appareil comport* d,es moyens de lecture ou;de 
stockage dans sa -.memoire de donnees rn Dj, Sk) d'autodiagnostic ou.de 
supervision et un moyen d'emission desdites donnees vers des sorties (1-4)- 

10 specifiees en fonction d'informations fournies par les donnees 
d'autodiagnostic ou de supervision suite a I'execution d'au moins une tache 
Tt de son programme d'application en relation avec Pobjet portable. 

2. Terminal, selon la revendication 1, caracterise en ce que les moyens 
d'emission des donnees d'autodiagnostic sont actives un certain nombre de 

15 fois. 

3. Terminal, selon la ^revendication 1, caracterise en ce que les moyens 
d'emission des donnees d'autodiagnostic ou de supervision comporte des 
moyens d'ecriture dans t'objet portable connecte a Tappareil. 

4. Terminal, selon une des revendications 1 a 3, caracterise en ce que les 
20 donnees d'autodiagnostic ou de supervision sont constitutes par au moins 

un triplet (Tt, Dj, Sk) d'information correspondant pour une premiere 
information (Ti) a une tache determinee du programme d'application, pour la 
seconde information (Dj) a un type de donnees correlees a la tache 
executee et a presenter a une sortie, et pour la troisieme information a une 
25 valeur (Sk) de specification de la sortie a laquelle le type de donnees doit 
etre presente parmi celles presentes sur le terminal. 

5. Terminal, i alon une des revendications precedentes, caracterise en ce 
que rapparei! dispose d'un moyen de test de la presence de donnees 
d'autodiagnostic ou de supervision dans un objet portable et de 

30 declenchement de la lecture et du stockage de ces donnees dans une zone 
specifique ZTD de la memoire du terminal. 
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6. Terminal, selon une des revendications precedentes, caracterise en ce 
qu'il comporte des moyens d'introduction de donnees d'autodiagnostic ou de 
supervision dans un objet portable. 

7. Procede de supervision du fonctionnement d'un terminal ou 
5 d'autodiagnostic d'un terminal a partir d'un triplet d'information 

correspondant pour une premiere information a une tache determinee d'un 
] programme d'application execute soit par un pbjet portable soit par un, 
) terminal, pour la seconde information a un type de donnees correlees a la 

tache executee et a presenter sur une sortie et pour la troisieme information 
10 a une valeur de specification de la sortie parmi celles presentes sur le 

terminal caracterise en ce qu'il consiste : 

- a executer (9) une tache du programme d'application sur le terminal ; 

- a tester (9) un indicateur soit dans le terminal soit dans I'objet portable 
pour determiner si une fonction d'autodiagnostic ou de supervision est 

is operationnelle, puis dans le cas d'une reponse positive ; 

- a rechercher (9) dans la memoire soit de I'objet portable soit du terminal s'il 
existe parmi les triplets d'information stockes un triplet dont la premiere 
information correspond a la tache determinee executee par le terminal ou la 
carte ; 

20 - a emettre vers la sortie specifiee par le triplet ainsi lu la valeur de la 
donnee correlee a la tache executee et a referencer par la seconde 
information du triplet. 

8. Procede, selon la revendication 7, caracterise en ce qu'il comporte une 
etape de test (16) consistant a determiner s'il existe d'autres taches a 

25 executer et a la suite de I'execution de ces taches a rechercher tous les 
triplets d'information correspondants a ('execution de cette tache. 

9. Procede, selon une des revendications 7 et 8, caracterise en ce qu'il 
comporte une etape de lecture d'un objet portable memorisant dans sa 
memoire non-volatile une pluralite de triplets et une etape (6) de stockage 

30 de ces triplets dans une zone de memoire non-volatile du terminal suivie 
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d'une etape (7) deactivation d'un indicateur de fonction d'autodiagnostic ou 
de supervision active. 

10. Precede, selon une des revendications 7 a 9, caracterise en ce qu'il 
comporte une etape de test (3, 4) pour determiner si I'objet portable est une 
carte specifique a la fonction d'autodiagnostic ou de supervision ou une 
carte dite banale. 

1 1 . Procede, selon une des revendications 7 et 1oi caracterise en ce que les 
donnees d'autodiagnostic ou de supervision sont constitutes par un 
quatrieme champ d'information contenant au depart dans I'objet portable 
I'adresse d'ecriture (Adr-V), le nombre d'octets a ecrire (Nb-V), apres 
I'operation d'autodiagnostic la valeur a ecrire (Val). 

12. Objet portable utilisable avec le terminal selon une des revendications 1 
a 6, caracterise en ce qu'il comporte une carte a microprocesseur 
fonctionnant grace a un systeme d'exploitation memorise sur la carte et 
comportant une memoire non-volatile contenant au moins un triplet (Ti, Dj, 
Sk) d'information dans une zone ZD determinee de cette memoire non- 
volatile dont la position est definie par des champs d'adresse situes dans la 
partie de memoire servant a stocker le systeme d'exploitation. 

13. Objet portable selon la revendication precedents caracterise en ce que 
la partie (25) de memoire non-volatile servant a memoriser le systeme 
d'exploitation comporte egalement dans un champ memoire une information 
constituant un compteur (21) d'utilisation de la fonction d'autodiagnostic. 

14. Objet portable selon une des revendications 12 et 13, caracterise en ce 
que la zone memoire (25) stockant le systeme d'exploitation comporte un 
champ permettant de memoriser un indicateur (232) d'activation de la 
fonction d'autodiagnostic ou de supervision. 
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